信息安全管理體系國家注冊審核員培訓班考試試題及答案一、單項選擇題（每題1分，共30分。每題只有一個正確答案，請將正確選項字母填入括號內(nèi)）1.依據(jù)GB/T22080-2016，信息安全管理體系（ISMS）的核心過程是（）A.風險評估與風險處置B.內(nèi)部審核C.管理評審D.文件控制答案：A2.國家注冊審核員在審核過程中發(fā)現(xiàn)受審核方將“信息安全方針”保存在僅允許總經(jīng)理訪問的加密盤中，審核員應（）A.立即終止審核B.記錄為符合，因為加密強度足夠C.記錄為不符合，方針應可被相關方獲取D.口頭提醒，不形成記錄答案：C3.下列哪項不是ISO/IEC27001:2013標準“0.2信息安全管理原則”中明確列出的原則（）A.全員參與B.持續(xù)改進C.以事實為依據(jù)的決策D.以風險為中心答案：C4.審核組在末次會議上對受審核方提出的“觀察項”意味著（）A.必須限期糾正B.潛在不符合，需關注C.嚴重不符合D.可忽略答案：B5.關于“風險處置計劃”，以下說法正確的是（）A.只需在認證初審時制定B.必須獲得最高管理者批準C.可以替代風險評估報告D.無需留下文件化信息答案：B6.國家注冊審核員注冊準則（CCAA-2021）規(guī)定，申請人應具有至少（）年全職工作經(jīng)歷，其中至少（）年與信息安全相關。A.4；2B.5；3C.6；4D.3；1答案：A7.審核證據(jù)、審核發(fā)現(xiàn)、審核結(jié)論三者的邏輯順序是（）A.審核證據(jù)→審核發(fā)現(xiàn)→審核結(jié)論B.審核發(fā)現(xiàn)→審核證據(jù)→審核結(jié)論C.審核結(jié)論→審核證據(jù)→審核發(fā)現(xiàn)D.審核證據(jù)→審核結(jié)論→審核發(fā)現(xiàn)答案：A8.當受審核方拒絕提供滲透測試報告時，審核員應（）A.直接判定為嚴重不符合B.忽略該過程，繼續(xù)審核C.記錄拒絕事實并評估對體系有效性的影響D.請示認證機構(gòu)市場部答案：C9.關于“適用性聲明（SoA）”，下列描述錯誤的是（）A.必須包含控制措施刪減的理由B.可以引用控制措施實施指南C.必須經(jīng)最高管理者簽署D.可以放在一級手冊中答案：C10.審核組在現(xiàn)場發(fā)現(xiàn)機房溫度記錄表連續(xù)7天空缺，以下做法最恰當?shù)氖牵ǎ〢.立即開據(jù)嚴重不符合B.詢問責任人并獲取后續(xù)整改證據(jù)C.忽略，因為溫濕度計正常D.讓受審核方補填即可答案：B11.依據(jù)GB/T28448-2012，等級保護2.0對“安全運維管理”要求中，以下哪項屬于“安全運維”階段（）A.定級B.備案C.漏洞掃描D.測評答案：C12.審核員在訪談IT主管時得知，公司每季度進行一次備份恢復演練，但無法提供最近兩次演練記錄，應（）A.判定為一般不符合B.判定為嚴重不符合C.記錄為觀察項D.不形成記錄答案：A13.關于“殘余風險”的描述，正確的是（）A.必須降為零B.可以接受但需獲得管理層批準C.無需記錄D.只在認證初審時考慮答案：B14.國家注冊審核員再注冊時，需完成至少（）學時的繼續(xù)教育，其中至少（）學時與信息安全有關。A.40；16B.32；12C.24；8D.48；20答案：A15.審核組在現(xiàn)場發(fā)現(xiàn)，受審核方將加密密鑰明文寫在便利貼貼在顯示器邊框，應（）A.記錄為嚴重不符合，涉及A.9.4.3B.記錄為一般不符合，涉及A.9.4.3C.口頭提醒即可D.記錄為觀察項答案：A16.關于“文件化信息”的控制，以下做法符合標準要求的是（）A.舊版手冊僅保留電子版，不保留紙質(zhì)版B.舊版手冊全部銷毀，不留痕跡C.舊版手冊加蓋“作廢”章后統(tǒng)一銷毀D.舊版手冊無需標識，直接丟棄答案：C17.審核員在審核“供應商管理”過程時，應重點關注（）A.供應商是否通過ISO9001認證B.供應商是否簽署信息安全協(xié)議C.供應商是否位于同一城市D.供應商是否提供贈品答案：B18.關于“業(yè)務連續(xù)性”審核，以下哪項最能體現(xiàn)“充分性”評價（）A.是否制定應急預案B.是否進行桌面演練C.是否基于風險評估結(jié)果制定RTOD.是否購買保險答案：C19.審核員在末次會議上應（）A.僅宣布結(jié)論，不解釋原因B.允許受審核方對發(fā)現(xiàn)提出意見C.拒絕受審核方拍照記錄D.拒絕提供不符合報告副本答案：B20.關于“審核計劃”的變更，以下說法正確的是（）A.審核組可單方面調(diào)整，無需通知受審核方B.必須經(jīng)認證機構(gòu)總經(jīng)理批準C.需經(jīng)受審核方確認并保留記錄D.可事后口頭補充答案：C21.依據(jù)ISO/IEC27003:2017，ISMS實施第一步是（）A.實施風險評估B.定義ISMS范圍與邊界C.制定適用性聲明D.實施內(nèi)部審核答案：B22.審核員在現(xiàn)場發(fā)現(xiàn)，公司使用開源組件但未進行漏洞掃描，應判定不符合條款（）A.A.12.6.1B.A.14.2.9C.A.16.1.4D.A.18.2.3答案：B23.關于“審核組能力管理”，以下做法正確的是（）A.僅由組長具備專業(yè)能力即可B.技術(shù)專家可獨立出具審核報告C.全體成員需具備ISMS審核能力D.實習審核員可獨立承擔部門審核答案：C24.審核員在跟蹤驗證時，發(fā)現(xiàn)受審核方僅對不符合項進行文件修訂但未實施，應（）A.接受整改，關閉不符合B.拒絕關閉，要求重新實施并保留證據(jù)C.上報市場監(jiān)管總局D.建議暫停證書答案：B25.關于“認證決定”與“審核結(jié)論”的關系，正確的是（）A.審核結(jié)論即認證決定B.認證決定由審核組長作出C.認證決定需考慮審核結(jié)論及其他相關信息D.認證決定無需參考審核報告答案：C26.審核員在審核“人力資源安全”時，發(fā)現(xiàn)新員工未簽署保密協(xié)議即獲得系統(tǒng)賬號，應判定不符合（）A.A.7.1.1B.A.7.2.1C.A.7.3.1D.A.8.1.1答案：B27.關于“審核報告”的批準，以下說法正確的是（）A.由審核組長批準即可B.由認證機構(gòu)技術(shù)委員會批準C.由認證機構(gòu)授權(quán)人批準D.由受審核方批準答案：C28.審核員在審核“訪問控制”時，發(fā)現(xiàn)數(shù)據(jù)庫管理員賬號由三人共用，應判定不符合（）A.A.9.2.1B.A.9.2.4C.A.9.4.2D.A.9.4.4答案：B29.關于“審核員公正性”要求，以下行為允許的是（）A.審核員曾受雇于受審核方，結(jié)束雇傭關系不足兩年B.審核員持有受審核方少量股票C.審核員接受受審核方贈送的市價200元紀念品D.審核員未向認證機構(gòu)披露其配偶在受審核方任職答案：無正確選項，均為不允許30.審核員在審核“日志管理”時，發(fā)現(xiàn)防火墻日志保留僅30天，但法規(guī)要求保留6個月，應判定不符合（）A.A.12.4.1B.A.16.1.4C.A.18.1.1D.A.12.3.1答案：A二、多項選擇題（每題2分，共20分。每題有兩個或兩個以上正確答案，多選、少選、錯選均不得分）31.以下哪些屬于ISO/IEC27001:2013標準“4.1理解組織及其上下文”需考慮的內(nèi)容（）A.與信息安全相關的法律法規(guī)B.股東對利潤的期望C.網(wǎng)絡安全威脅趨勢D.競爭對手市場策略答案：A、C32.審核組在編制審核計劃時，必須包含（）A.審核目的B.審核準則C.審核組成員分工D.受審核方差旅預算答案：A、B、C33.關于“風險處置”可選措施，標準給出的方式包括（）A.風險規(guī)避B.風險轉(zhuǎn)移C.風險接受D.風險忽略答案：A、B、C34.以下哪些情況可構(gòu)成“嚴重不符合”（）A.系統(tǒng)性失效B.關鍵控制措施缺失導致重大風險不可接受C.個別記錄填寫不規(guī)范D.受審核方故意隱瞞重大安全事件答案：A、B、D35.審核員在收集審核證據(jù)時，可使用的抽樣技術(shù)包括（）A.判斷抽樣B.統(tǒng)計抽樣C.便利抽樣D.雪球抽樣答案：A、B36.依據(jù)GB/T25070-2019，等級保護安全設計技術(shù)要求包括（）A.用戶身份鑒別B.安全審計C.通信完整性D.數(shù)據(jù)不可否認性答案：A、B、C、D37.以下哪些文件屬于ISMS“一級文件”（）A.信息安全方針B.適用性聲明C.訪問控制程序D.機房巡檢表答案：A、B38.審核員在審核“供應商服務交付”時，應關注（）A.服務報告內(nèi)容B.服務連續(xù)性安排C.服務變更管理D.供應商員工績效考核答案：A、B、C39.關于“認證暫停”條件，以下哪些情形適用（）A.獲證組織主動請求暫停B.獲證組織未按期接受監(jiān)督審核C.獲證組織發(fā)生嚴重影響ISMS的重大事故D.獲證組織搬遷辦公室答案：A、B、C40.審核員在“末次會議”上應確保（）A.說明審核發(fā)現(xiàn)B.說明審核結(jié)論C.說明后續(xù)認證流程D.收取審核費答案：A、B、C三、判斷題（每題1分，共10分。正確打“√”，錯誤打“×”）41.ISO/IEC27001:2013標準強制要求使用“信息安全手冊”這一術(shù)語。（）答案：×42.審核員可以在受審核方食堂自費就餐。（）答案：√43.國家注冊審核員注冊證書有效期為5年。（）答案：×44.審核報告應在審核結(jié)束后5個工作日內(nèi)提交認證機構(gòu)。（）答案：√45.觀察項必須在下一次監(jiān)督審核時關閉。（）答案：×46.審核組可以僅由一名實習審核員組成。（）答案：×47.認證機構(gòu)可以subcontract整個審核過程給外部個人。（）答案：×48.受審核方對不符合項進行糾正即可，無需采取糾正措施。（）答案：×49.審核員在審核過程中發(fā)現(xiàn)重大安全隱患，有權(quán)立即向監(jiān)管部門報告。（）答案：√50.審核證據(jù)必須是可驗證的。（）答案：√四、簡答題（每題5分，共20分）51.簡述“風險評估”與“風險處置”在ISMS建立階段的相互作用。答案：風險評估通過識別資產(chǎn)、威脅、脆弱性并分析風險大小，輸出風險清單；風險處置根據(jù)風險評估結(jié)果，選擇規(guī)避、降低、轉(zhuǎn)移或接受策略，制定處置計劃與措施，確保風險降至可接受水平；二者形成閉環(huán)，評估結(jié)果直接決定處置需求，處置后再評估殘余風險，確保目標達成。52.審核員在現(xiàn)場發(fā)現(xiàn)UPS電池巡檢記錄缺失，但機房供電正常，應如何形成審核發(fā)現(xiàn)？答案：首先與責任人確認巡檢制度要求及頻次；收集證據(jù)比對實際記錄，識別缺失日期；依據(jù)A.11.2.4（設備維護）條款，記錄為一般不符合，描述事實、條款、影響，要求受審核方分析原因并制定糾正措施，保留后續(xù)整改證據(jù)。53.說明“認證范圍”與“審核范圍”的區(qū)別與聯(lián)系。答案：認證范圍是認證機構(gòu)最終頒發(fā)的證書上注明的ISMS邊界與適用性，具有法律約束力；審核范圍是單次審核活動所覆蓋的邊界、過程、場所，可小于或等于認證范圍；二者均以ISMS邊界為基礎，審核范圍支持認證范圍的有效性確認，通過多次審核范圍疊加，維持認證范圍持續(xù)有效。54.列舉審核員在“云計算環(huán)境”下審核A.9.4.5（特權(quán)訪問權(quán)限限制）時需獲取的三類證據(jù)，并說明獲取方式。答案：1.云服務商IAM策略文檔，通過只讀賬號登錄控制臺截屏導出；2.特權(quán)賬號清單及授權(quán)審批記錄，通過訪談安全管理員并抽樣導出CSV；3.最近三個月特權(quán)賬號操作日志，通過云審計服務API拉取并哈希存證，確保完整性與可追溯性。五、案例分析題（每題10分，共20分）55.背景：某電商平臺通過ISO27001認證，主營B2C業(yè)務，核心系統(tǒng)部署在阿里云VPC，用戶數(shù)據(jù)含姓名、手機號、收貨地址、支付哈希。審核員在監(jiān)督審核時獲悉：1.三個月前因云賬號AK/SK泄露導致攻擊者下載200萬條用戶數(shù)據(jù)；2.事件后公司僅修改AK/SK，未向監(jiān)管部門報告；3.日志顯示攻擊者使用特權(quán)RDS賬號刪除審計表；4.公司未購買云安全中心增值服務，缺少異常API調(diào)用告警。問題：（1）請識別至少三項嚴重不符合，并指出對應標準條款；（2）作為審核員，請寫出對受審核方的現(xiàn)場溝通要點；（3）列出跟蹤驗證時需獲取的證據(jù)清單。答案：（1）a.未實施對AK/SK的妥善保管，導致大規(guī)模數(shù)據(jù)泄露，嚴重不符合A.9.4.3（秘密鑒別信息）；b.未按法規(guī)要求向監(jiān)管部門報告?zhèn)€人信息泄露事件，嚴重不符合A.16.1.6（信息安全事件報告）；c.審計表被刪除，日志完整性缺失，嚴重不符合A.12.4.2（日志信息保護）；d.未對異常API調(diào)用進行實時監(jiān)控，嚴重不符合A.16.1.4（信息安全事態(tài)監(jiān)控）。（2）現(xiàn)場溝通要點：告知事件已構(gòu)成嚴重不符合，說明對認證資格的影響；要求立即啟動應急響應，封存現(xiàn)有日志，防止證據(jù)滅失；要求24小時內(nèi)提交正式書面報告，包含事件原因分析、影響范圍、已采取措施、后續(xù)整改計劃；強調(diào)法律法規(guī)義務，建議盡快向監(jiān)管部門補報；說明審核組將上報認證機構(gòu)，可能觸發(fā)特殊審核或暫停程序；確認受審核方對審核發(fā)現(xiàn)無異議，簽字確認。（3）跟蹤驗證證據(jù)清單：正式事件報告及監(jiān)管回執(zhí)；修訂后的AK/SK管理制度及培訓記錄；KMS或Vault類密鑰管理系統(tǒng)上線截圖與配置基線；啟用云安全中心后的告警策略截圖及近兩周告警記錄；審計日志轉(zhuǎn)存至獨立日志平臺（如SLS、CLS）的配置與完整性校驗值；特權(quán)賬號最小權(quán)限梳理表及回收記錄；數(shù)據(jù)泄露影響評估報告及用戶通知證明；內(nèi)部評審與管理評審會議紀要，確認整改有效性；認證機構(gòu)特殊審核報告。56.背景：某市屬醫(yī)院2022年通過ISO27001認證，證書覆蓋“智慧醫(yī)院信息系統(tǒng)”。審核員在再認證審核時發(fā)現(xiàn)：1.醫(yī)院將HIS數(shù)據(jù)庫運維外包給A公司，合同中含保密條款，但未要求A公司符合ISO27001；2.A公司工程師通過VPN遠程運維，使用共享賬號“dbadmin”，口令為“123456”；3.醫(yī)院未對A公司工程師進行背景調(diào)查；4.醫(yī)院未要求A公司提供年度安全審計報告；5.